Hvordan søke etter ondsinnet kode uten antivirus og skannere. Hvordan søke etter ondsinnet kode uten antivirus og skannere Hvordan søke etter ondsinnet kode på WordPress

Hvordan søke etter ondsinnet kode uten antivirus og skannere. Hvordan søke etter ondsinnet kode uten antivirus og skannere Hvordan søke etter ondsinnet kode på WordPress

1. Pakk ut til nettstedsmappen.
2. følg linken your_site/fscure/
3. alle

Hva kan?

1. Automatisk søk ​​etter virus etter signaturer.
2. Finne en streng i filer
3. Slette filer
4. Patch ondsinnet kode ved hjelp av regulære uttrykk

Skriptet vil ikke gjøre alt arbeidet for deg og krever litt minimal kunnskap. Før arbeid anbefales det å ta en sikkerhetskopi av nettstedet.

Hvordan virker det?

Ved første start lager den en indeks over filer. Filen fscure.lst i mappen. Viser en liste over filer som inneholder potensielt skadelige signaturer. "Potensielt skadelig" betyr at det er opp til deg å avgjøre om det er et virus eller ikke. Listen over signaturer er konfigurert i config.php-filen, SCAN_SIGN konstant. Med standardinnstillinger sjekker ikke skriptet js-filer og inneholder ikke signaturer for dem.

De vanligste problemene

1. oppretter ikke en fscure.lst-indeks. Det kan skje hvis det ikke er nok rettigheter. Sett 777 på fscure-mappen

2. 5xx feil. Oftest "504 Gateway Time-out". Skriptet har ikke tid til å trene og krasjer ved en timeout. I dette tilfellet er det flere måter å fremskynde arbeidet på. Hastigheten avhenger først og fremst av størrelsen på indeksen. Det er i filen fscure.lst. Vanligvis klarer en fil på opptil 5 Mb i 90 % av tilfellene å behandle. Hvis det ikke har tid, kan du redusere "grådigheten" til skriptet ved å forby skanning av *.jpg; *.png; *.css i konfigurasjonen.
I config.php-filen.

// skilletegn; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

3. Hosting utsteder en advarsel som
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

Det er ikke noe virus i manuset og har aldri vært det. Og (HEX)base64.inject.unclassed.6 er en konstruksjon som "echo base64_decode(" , som ofte finnes og er ganske ufarlig i seg selv. Men i den siste versjonen erstattet jeg denne koden.

Hva gjør du hvis du ikke finner viruset selv?

Du kan kontakte meg for å få hjelp. Mine priser er beskjedne. Jeg gir 6 måneders garanti på arbeidet mitt. Arbeidskostnaden er 800 rubler. for 1 nettsted. Hvis det er flere nettsteder på kontoen, bestemmes prisen individuelt.

Hvis du klarte å gjøre alt selv, vil jeg være takknemlig for en økonomisk belønning eller en lenke til siden min.

Mine krav:
yandex
41001151597934

webmoney
Z959263622242
R356304765617
E172301357329

Må gjøres i fellesskap. Hvis du eliminerer den opprinnelige årsaken til hacket (for eksempel en sårbarhet i CMS-utvidelsen), men ikke fjerner alle ondsinnede filer, vil angriperen kunne få tilgang til nettstedet igjen ved å bruke et av skriptene deres. Hvis du sletter alle nedlastede ondsinnede skript, men ikke eliminere årsaken til hacket, vil angriperen kunne hacke nettstedet igjen og laste opp skript til det igjen.

Utfør arbeid med å fjerne ondsinnede skript og analyser årsakene til hacking spesialist med relevant kunnskap og erfaring:

  • For å fjerne ondsinnede skript, må du kunnskap om PHP programmeringsspråk, og kunnskap "fra innsiden" av populær CMS(Joomla, WordPress, etc.) og utvidelser for dem. Denne kunnskapen er nødvendig for å skille skript direkte fra CMS og dets utvidelser fra utenlandske filer, og også for å kunne entydig bestemme hvilke handlinger de utfører når de møter tvilsomme skript.
  • For å analysere årsakene til hacking er det nødvendig erfaring med serveradministrasjon. Dette er nødvendig for å analysere tilstanden til filene på kontoen, tidspunktet de ble endret, og for å sammenligne disse dataene med serverloggene for å finne ut hvilke handlinger fra angriperen som førte til hacking av nettsteder.

Derfor, hvis nettstedet ditt har blitt hacket, anbefales det at for å unngå gjentatte hacks, ikke gjør arbeidet selv, men kontakt en spesialist som vil gjøre nødvendig diagnostikk og anbefale eller utføre nødvendige handlinger for å løse problemet, og hvem kan garantere kvaliteten på resultatet.

Det er imidlertid en rekke tiltak som i noen tilfeller bidra til å gjenopprette sikker drift av nettstedet uten spesiell kunnskap. Begrensningen for metoden nedenfor er at for å gjenoppta driften av nettstedet, er det nødvendig å ha en sikkerhetskopi opprettet på tidspunktet før hacket. Hvis datoen for bruddet ikke er kjent, kan du prøve denne metoden ved å bruke den tidligste tilgjengelige sikkerhetskopien. Den andre begrensningen, som en konsekvens av den første, er at etter gjenoppretting av nettstedet, vil data som er lagt til nettstedet etter at sikkerhetskopien ble opprettet (for eksempel nye artikler, bilder eller dokumenter), gå tapt. Hvis du trenger å gjenopprette nettstedet, mens du beholder de nye dataene, må du kontakte en spesialist.

Disse tiltakene ikke tillat å fastslå årsaken til hackingen av nettstedet, men hver av dem er rettet mot å eliminere en av de potensielle årsakene til penetrering. Siden den nøyaktige årsaken til hacket er ukjent, må du fullføre dem alle. Handlingene er ordnet i en slik rekkefølge at de først helt utelukker muligheten for at angriperen fortsetter å jobbe på nettstedet eller vertskontoen i for tiden, og forhindre deretter at en angriper kommer inn på nettstedet i fremtiden.

Trinnene nedenfor forutsetter at vertskontoen din har bare ett nettsted. Hvis det er flere nettsteder på kontoen, kan de også bli hacket, og nettstedet kan bli hacket gjennom dem. Det er nødvendig enten å overføre nettstedet som restaureringsarbeidet utføres med til en egen konto, eller å utføre restaurering for alle nettsteder som er vert på kontoen samtidig.

Rekkefølgen av handlinger er viktig, så du må utføre dem i den rekkefølgen de er plassert nedenfor.

  1. Umiddelbart etter oppdagelsen av et hacket nettsted, er det nødvendig blokkere besøkende fullstendig fra å få tilgang til den. Dette vil for det første forhindre angriperen i å utføre ondsinnede aktiviteter på nettstedet, og for det andre vil ikke tillate ham å forstyrre restaureringsarbeidet. Dette trinnet er veldig viktig, fordi fjerning av ondsinnede skript og eliminering av årsaken til hacket ikke skjer på samme tid - som regel tar det flere timer. Hvis nettstedet fortsatt er tilgjengelig fra utsiden, vil angriperen kunne laste opp skript på nytt til den delen av nettstedet som allerede er renset. I dette tilfellet kan en angriper bruke forskjellige IP-adresser for å koble til, så det vil ikke fungere å nekte tilgang bare til en liste over IP-adresser. For å sikre at nettstedet blir tømt for ondsinnede skript funnet, er det nødvendig å blokkere angriperen fullstendig fra å få tilgang til nettstedet, noe som bare kan gjøres ved å blokkere nettstedet fullstendig for eventuelle besøkende. Kontakt den tekniske støtten til verten som er vert for nettstedet ditt for å blokkere det.
  2. Etter å ha blokkert nettstedet, må du sjekk datamaskiner, hvorfra arbeidet med nettstedet ble utført, et moderne antivirus med oppdaterte virusdatabaser. Hvis nettstedet ble hacket ved å stjele kontopassord ved hjelp av et virus, må du sørge for at videre arbeid med det hackede nettstedet utføres fra en datamaskin der det ikke er virus, ellers, etter å ha endret tilgangspassord, kan de bli stjålet igjen .
  3. Etter å ha blokkert nettstedet og sjekket for virus, må du endre alle passord kontotilgang: tilgang via FTP, via SSH, samt tilgang til vertskontrollpanelet. Hvis en angriper fikk tilgang til kontofiler ved hjelp av en av disse metodene, etter å ha endret passord, vil han ikke lenger kunne gjøre dette.
  4. Etter å ha endret passord, drepe alle serverprosesser, jobber på vegne av kontoen som er vert for nettstedet. Prosesser lansert av en angriper i bakgrunnen, uten å bli ødelagt, vil kunne erstatte skadelige skript på nettstedet etter gjenopprettingsarbeid. For å forhindre at dette skjer, må alle prosesser som kjører før siden ble blokkert, drepes. Nettstedet på dette tidspunktet skal allerede være blokkert slik at angriperen ikke kunne starte nye prosesser ved å referere til et av skriptene hans på nettstedet. For å ødelegge prosessene som kjører på kontoen din, kontakt den tekniske støttetjenesten til vertskapet som er vert for nettstedet ditt.
  5. Nå er det umulig å trenge gjennom nettstedet fra utsiden, og du kan begynne å gjenopprette det.
  6. Før videre handling slette alle eksisterende nettstedfiler, slik at det ikke er noen ondsinnede skript igjen blant dem, eller CMS-skript som angriperen har injisert skadelig kode i. Dette trinnet er også viktig fordi gjenoppretting av et nettsted fra en sikkerhetskopi ikke alltid fjerner filene som eksisterte før gjenopprettingen. Hvis gamle ondsinnede skript forblir på nettstedet etter gjenoppretting fra en sikkerhetskopi, vil en angriper kunne infiltrere nettstedet på nytt. Du kan unngå dette ved å slette alle nettstedsfiler før du utfører en gjenoppretting.
  7. Etter å ha slettet alle nettstedsfiler gjenopprett nettstedet fra sikkerhetskopi opprettet før den ble hacket. Ofte er det nok å gjenopprette bare nettstedsfilene, men hvis det observeres feil i driften av nettstedet etter å ha gjenopprettet dem, er det nødvendig å gjenopprette nettstedet fullstendig: både filene og databasen.
  8. Etter gjenoppretting fra en sikkerhetskopi oppdater dine (CMS) og dets utvidelser til det siste. Dette er nødvendig for å utelukke tilstedeværelsen av kjente sårbarheter på nettstedet som det kan hackes gjennom. Som regel kan oppdateringen gjøres gjennom administrasjonsdelen av CMS. For å få fullstendige instruksjoner for å oppdatere CMS, må du kontakte nettstedet til systemutvikleren. Det er viktig å ikke bare oppdatere selve CMS, men også alle utvidelsene, siden hacking ofte skjer gjennom en sårbarhet som finnes i en av CMS-utvidelsene (for eksempel plugins, temaer, widgets osv.). På dette tidspunktet er det ennå ikke mulig å fjerne blokkeringen av nettstedet for besøkende, da det fortsatt kan være sårbart. For å få tilgang til nettstedet for oppdatering, kontakt den tekniske støtten til verten som er vert for nettstedet ditt og be om å tillate tilgang til nettstedet kun fra IP-adressen til datamaskinen din. Du kan finne ut IP-adressen din, for eksempel på inet.yandex.ru.
  9. Etter å ha oppdatert og dets utvidelser, gå til sideadministrasjonsdelen og endre passordet for administratortilgang til ham. Forsikre deg om at det ikke er andre brukere med administrative rettigheter blant nettstedets brukere (de kan bli lagt til av en angriper), og hvis noen blir funnet, slett dem.
  10. Nå som siden har blitt gjenopprettet fra en sikkerhetskopi og ikke inneholder skadelige skript, har CMS og dets utvidelser blitt oppdatert til siste versjoner, der det ikke er noen sårbarheter, og passordene for tilgang til nettstedet og vertskontoen er endret, kan du åpne nettstedet på nytt for besøkende.

Alle de ovennevnte handlingene må utføres i henhold til den angitte rekkefølgen, uten utelatelser eller endringer. Hvis handlingene utføres unøyaktig, kan ondsinnede skript eller sårbarheter forbli på nettstedet, som et resultat av at det etter kort tid kan hackes igjen av en angriper. Hvis det av en eller annen grunn ikke er mulig å utføre trinnene ovenfor i formen de er angitt i, kontakt en spesialist for å utføre arbeid for å gjenopprette nettstedet etter et hack.

For å beskytte nettstedet ditt mot gjentatte hacks i fremtiden, må du følge følgende anbefalinger:

  1. Følg oppdateringene av CMS og dets utvidelser på utviklernes nettsteder og oppdater dem til de nyeste versjonene i tide. Hvis kommentaren om en oppdatering inneholder informasjon om at den løser et sikkerhetsproblem, installer oppdateringen så snart som mulig.
  2. Arbeid med nettstedet og med vertskontoen kun fra datamaskiner som er beskyttet mot virus av moderne antivirus med konstant oppdaterte virusdatabaser.
  3. Bruk komplekse passord slik at de ikke kan gjettes ved hjelp av en ordbok.
  4. Ikke lagre FTP- og SSH-passord i programmene for å koble til nettstedet, og ikke lagre passordet i nettleseren for å få tilgang til nettstedets administrative seksjon og vertskontrollpanelet.
  5. Fra tid til annen (for eksempel en gang hver tredje måned) endre passordene for tilgang til nettstedet og hosting-kontoen.
  6. Hvis det ble funnet virus på datamaskinen som nettstedet ble åpnet fra, endre passordene for tilgang til nettstedet og vertskontoen så snart som mulig. Det er nødvendig å endre alle passord: passord for tilgang via FTP, SSH, passord fra nettstedets administrative panel, samt passordet fra vertskontrollpanelet.
  7. Ikke gi tilgang til nettstedet til tredjeparter hvis du ikke er sikker på at de også vil følge anbefalingene som er gitt.

Ondsinnet kode kommer inn på nettstedet gjennom uaktsomhet eller ondsinnet hensikt. Formålet med den ondsinnede koden er annerledes, men i hovedsak skader eller forstyrrer den normal drift av nettstedet. For å fjerne ondsinnet kode på WordPress, må du først finne den.

Hva er ondsinnet kode på et WordPress-nettsted

Av utseende, oftest er ondsinnet kode et sett med bokstaver og symboler i det latinske alfabetet. Faktisk er dette en kryptert kode som en eller annen handling utføres med. Handlinger kan være svært forskjellige, for eksempel blir de nye innleggene dine umiddelbart publisert på en tredjepartsressurs. I hovedsak er dette tyveri av innholdet ditt. Koder har også andre "oppgaver", for eksempel å plassere utgående lenker på nettstedssider. Oppgaver kan være de mest sofistikerte, men én ting er klart at ondsinnede koder må jaktes opp og fjernes.

Hvordan skadelige koder kommer inn på nettstedet

Det er også mange smutthull for å få koder til nettstedet.

  1. Oftest er dette temaer og plugins som er lastet ned fra de "venstre" ressursene. Selv om slik penetrering er typisk for såkalte krypterte lenker. Eksplisitt kode kommer ikke til nettstedet.
  2. Inntrengningen av et virus når et nettsted blir hacket er den farligste. Som regel lar hacking av et nettsted deg ikke bare plassere "engangskode", men også installere en kode med elementer av skadelig programvare (ondsinnet program). For eksempel finner du en kode, og sletter den, og den gjenopprettes etter en stund. Igjen, det er mange alternativer.

Jeg vil med en gang merke at kampen mot slike virus er vanskelig, og manuell fjerning krever kunnskap. Det er tre løsninger på problemet: første avgjørelse- bruk antivirus-plugins, for eksempel en plugin kalt BulletProof Security.

Denne løsningen gir gode resultater, men det tar tid, om enn litt. Det er en mer radikal løsning, å bli kvitt ondsinnede koder, inkludert komplekse virus, er å gjenopprette nettstedet fra forhåndslagde sikkerhetskopier nettstedet.

Siden en god webmaster gjør det med jevne mellomrom, vil det være mulig å rulle tilbake til en ikke-infisert versjon uten problemer. Tredje avgjørelse for de rike og late, bare ta kontakt med et spesialisert "kontor" eller en individuell spesialist.

Hvordan finne skadelig kode i WordPress

Det er viktig å forstå at ondsinnet WordPress-kode kan være i hvilken som helst sidefil, og ikke nødvendigvis i arbeidstemaet. Den kan hentes inn med en plugin, med et tema, med "hjemmelaget" kode hentet fra Internett. Det er flere måter å prøve å finne skadelig kode på.

Metode 1. Manuelt. Bla gjennom alle filene på nettstedet og sammenlign dem med filene til en uinfisert sikkerhetskopi. Finn en annens kode – slett den.

Metode 2. Med WordPress sikkerhetsplugins. For eksempel, . Denne plugin-en har en flott funksjon som skanner nettstedsfiler for tilstedeværelsen av andres kode, og plugin-en gjør en god jobb med denne oppgaven.

Metode 3. Hvis du har rimelig vertsstøtte, og det ser ut til at nettstedet er "fremmed", be dem skanne nettstedet ditt med antivirusprogrammet deres. Rapporten deres viser alle infiserte filer. Deretter åpner du disse filene tekstredigerer og fjern ondsinnet kode.

Metode 4. Hvis du kan jobbe med SSH-tilgang til nettstedskatalogen, så fortsett, det er et kjøkken.

Viktig! Uansett hvordan du ser etter ondsinnet kode, før du søker og deretter sletter koden, blokkerer du tilgangen til nettstedsfiler (aktiver vedlikeholdsmodus). Husk kodene som i seg selv gjenopprettes når de slettes.

Søk etter ondsinnede koder ved hjelp av eval-funksjonen

Det er noe slikt i php eval funksjon. Den lar deg kjøre hvilken som helst kode på linjen. Dessuten kan koden kodes. Det er på grunn av kodingen at den skadelige koden ser ut som et sett med bokstaver og symboler. Det er to populære kodinger:

  1. base64;
  2. Rått13.

Følgelig, i disse kodingene, ser eval-funksjonen slik ut:

  • eval(base64_decode(...))
  • eval (str_rot13 (...)) //i interne anførselstegn, lange uforståelige sett med bokstaver og symboler..

Algoritmen for å søke etter ondsinnet kode ved hjelp av eval-funksjonen er som følger (vi jobber fra det administrative panelet):

  • gå til nettstedsredigering (Utseende → Redaktør).
  • kopier filen functions.php.
  • åpne den i et tekstredigeringsprogram (for eksempel Notepad++) og søk etter ordet: eval.
  • hvis funnet, ikke skynd deg å slette noe. Det er nødvendig å forstå hva denne funksjonen "ber" om å utføre. For å forstå dette må koden dekodes. For dekoding finnes det nettbaserte verktøy kalt dekodere.

Dekodere/kodere

Dekodere fungerer enkelt. Kopier koden som skal dekrypteres, lim den inn i dekoderfeltet og dekod.

I skrivende stund har jeg ikke funnet noen kryptert kode funnet i WordPress. Fant koden fra Joomla-siden. I prinsippet er det ingen forskjell for å forstå dekoding. Vi ser på bildet.

Som du kan se på bildet, viste ikke eval-funksjonen, etter dekoding, en forferdelig kode som truer sikkerheten til nettstedet, men kryptert copyright-lenke, forfatteren av malen. Du kan slette den også, men den kommer tilbake etter oppdatering av malen hvis du ikke bruker .

Avslutningsvis vil jeg merke meg for ikke å få et virus på nettstedet:

  • Ondsinnet kode i WordPress kommer ofte med temaer og plugins. Derfor, ikke installer maler og plugins fra "venstre", ubekreftede ressurser, og hvis du installerer dem, pump dem forsiktig over for tilstedeværelsen av lenker og php-utøvende funksjoner. Etter å ha installert plugins og temaer fra "ulovlige" ressurser, sjekk nettstedet med antivirus.
  • Sørg for å ta periodiske sikkerhetskopier og utføre andre.

Skadelig JavaScript

Min mening, som består i at det er enklere og mer effektivt å beskytte mot ondsinnede nettleserskript (lagrede XSS-angrep) ved hjelp av nettlesere, ble uttalt tidligere: . Nettleserbeskyttelse mot JavaScript, som består i å legge til en filtreringskode til html-sidene på nettstedet, skal være pålitelig, men tilstedeværelsen av slik beskyttelse eliminerer ikke behovet for å bruke et serversidefilter også. Mot de samme XSS-angrepene på serveren kan du organisere en ekstra forsvarslinje. Vi må også huske på muligheten for at en angriper injiserer html-meldingen som sendes fra nettstedet, ikke nettleseren, men serverskriptene (php), for å gjenkjenne hvilke nettleseren som ikke vil være sterk.

Et angripende script, enten det er et nettleserscript eller et serverscript, er et program, og man må tenke at programmet alltid vil ha noen symbolske forskjeller fra «ren» html. La oss prøve å finne slike forskjeller og bruke dem til å bygge et html-filter på serveren. Nedenfor er eksempler på skadelig JavaScript.

XSS:

litt tekst


litt tekst

Kryptert XSS:

litt tekst


litt tekst

Nettlesere gjenoppretter tekst fra karakterprimitiver ikke bare inne i html-beholdere (mellom åpnings- og lukketaggene), men også inne i selve kodene (mellom< и >). URL-koding er tillatt i http-adresser. Dette kompliserer gjenkjennelsen av ondsinnet kode på serversiden, siden samme tegnsekvens kan representeres på forskjellige måter.

XSS-ormer:

"+innerHTML.slice(action= (method="post")+".php",155)))">